No Spreaker, levamos a segurança muito a sério e acreditamos que toda ajuda é importante para descobrir e resolver prontamente bugs e problemas de segurança. Se você acredita ter encontrado um problema de segurança em nosso serviço, ficaremos felizes em trabalhar com você para resolver esse problema e garantir que você seja compensado por sua descoberta.
Serviços em Escopo
Todos esses serviços NÃO estão no escopo porque são gerenciados por fornecedores terceirizados:
careers.spreaker.com
Também são excluídos plugins / inclusões / sites de terceiros (por exemplo: javascript incluído por um terceiro).
Quaisquer outros serviços da Web *.spreaker.com devem estar no escopo.
Vulnerabilidades de qualificação
Qualquer problema de design ou implementação que afete substancialmente a confidencialidade ou integridade dos dados do usuário (exceto quando feito por você mesmo) provavelmente estará no escopo. Isso inclui:
Script entre sites
Falsificação de solicitação entre sites
Scripts de conteúdo misto
Falhas de autenticação ou autorização
Bugs de execução de código do lado do servidor
Penetração do lado do servidor
Vulnerabilidades não-qualificadas
Vulnerabilidade já relatada: vulnerabilidades já relatadas por você ou outros pesquisadores, mas ainda em aberto. Duas vulnerabilidades são iguais se o mesmo vetor de ataque for relatado para mais de 2 serviços da Web/páginas de sites
XSS faça você mesmo: vulnerabilidades que afetam apenas sua conta, não exploráveis para atacar outros usuários
Más práticas sem POC: más práticas conhecidas, sem prova real de que podem ser usadas como vetor de ataque para realizar um ataque ao Spreaker
Redirecionamentos de URL: consideramos apenas redirecionamentos de URL com um ataque prático
Bugs que exigem interação do usuário extremamente improvável: por exemplo, o usuário é obrigado a inserir manualmente um código XSS em um campo
Falhas que afetam os usuários de navegadores desatualizados: navegadores suportados: Edge, Chrome, Firefox, Opera, Safari (versões mais recentes)
Ataques DoS/DDoS
Ataques de força bruta
Ataques Man-In-The-Middle
Política de Divulgação Responsável
Contanto que você nos dê um tempo razoável para responder à sua denúncia antes de tornar qualquer informação pública e faça um esforço de boa fé para evitar violações de privacidade, destruição de dados e interrupção ou degradação de nosso serviço durante sua pesquisa, não entraremos com nenhuma ação judicial contra você ou pedir a aplicação da lei para investigá-lo.
Testes automatizados NÃO são permitidos
O uso de testes automatizados o desqualificará automaticamente de todas as recompensas por bugs e resultará no encerramento da conta.
Valores de recompensa
As recompensas por bugs qualificados variam de US$ 100 a US$ 1.000, enviadas para sua conta do PayPal. A tabela a seguir descreve as recompensas usuais dadas para as classes mais comuns de bugs:
até 100$: vulnerabilidades que comprometem dados de usuários de terceiros (ou seja, você pode editar dados de perfil de usuário de terceiros)
até 500$: vulnerabilidades que comprometem globalmente as contas de usuário (ou seja, você pode se autenticar como qualquer usuário de terceiros, pode excluir qualquer conta de terceiros, pode alterar o e-mail ou a senha de qualquer conta de terceiros, …)
até 1000$: vulnerabilidades que comprometem os dados e servidores privados do Spreaker (ou seja, você pode acessar o código-fonte, consultar o banco de dados, obter acesso remoto ao servidor etc.)
IMPORTANTE: os pagamentos de recompensas são enviados apenas via PayPal. Não abrimos exceções.
Como relatar um problema
Se você descobrir alguma vulnerabilidade, envie um e-mail contendo uma prova de conceito funcional para security@spreaker.com.